クリックジャッキング

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

クリックジャッキング[1][2][3]とは、ウェブページ上で使用される悪意の技術の一つ。クリックジャック攻撃などとも呼ばれ、正式にはUI Redressingとして知られている。簡単に言うと、攻撃者のウェブページ上の無害そうなボタンと他のサイトの意図していない機能のボタンとを、それとわからないように入れ替えることで意図していない機能を実行させる技術である。

押させるボタンによっては秘密情報を露呈させたり、あるいはウェブ利用者のコンピュータの支配を獲得することができる[4]。また各種のウェブブラウザプラットホームに渡る脆弱さを利用し、意図していない機能を実行する為のボタンをクリックするように埋め込まれたコードあるいはスクリプトの形態をしているため、利用者に気付かれることなく実行され得る[5]

概要[編集]

クリックジャックするページでは攻撃者が偽ボタンを一式示し、透過レイヤに他のページを呼び出す。 利用者は見えているボタンをクリックしていると思っているが実際は透過レイヤにあるページのボタンをクリックしている。透過レイヤにあるページは認証のページの可能性もあり、それゆえ攻撃者は利用者をだまして利用者が決してするつもりのない行動を実行させることが可能であり、そして利用者が本当に透過レイヤにあるページで認証されたため、後になってそのような行動の追跡調査を行う手段はない。

クリックジャッキングはレイヤと透過性を提供するどんなテクノロジー・プラットフォームでも実行され得る。クリックジャッキングはソフトウェアのバグではなく一見無害なウェブ・ページの機能を利用して予期しない動作を起すことが可能である。このことはConfused deputy problem[1]の一例と理解することが出来ることを示していて、Capability-based securityを利用する潜在的な解決を意味する。権限あるボタンまたは情報を含んでいるページを機能させるためURLだけでアクセスできるならば、はっきりとページにアクセスする許可を与えられない限り、攻撃しているサイトはこのURLを知ることはない。

対策[編集]

Mozilla Firefoxと他のGeckoベースのウェブブラウザのための具体的な防御は、そのClearClick機能[2]を介したNoScriptというアドオンにより提供される。他のウェブブラウザ利用者には代わりとなる防御手段はない[6]

CSSのみでも実現可能であることから、JavaScriptを実行しないように設定していても完全に防ぐことはできない。

クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、HTTPレスポンスヘッダーX-FRAME-OPTIONSを含めることで、そのウェブページを他のサイトのページのIFrameに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。

実例[編集]

利用者はいくつかの色分けされたボタンをクリックしなくてはならないゲームを行うが、別に一般サービスからのウェブ・メール・サイト認証ページがゲーム上の隠れたIFrameに呼び出される。IFrameの呼び出しは利用者がパスワードをその対応するサイトについて保存する場合だけである。ゲームのボタンはその位置がメール全部の選択とメール削除のボタンと一致するように決められる。その結果、単純なゲームをしながら利用者は彼のフォルダから全部のメールを知らずに削除する。知られている別の事例には既にアドビシステムズにより修正されたことだがAdobe Flashを通して利用者のWebカメラマイクロフォンを支配するため利用者をだました行為、利用者をだましてそのソーシャル・ネットワーク用プロフィールを公けにさせた行為やTwitterで誰かに追従することを強いた行為などがある。

  • 楽天オークションの1円オークションにて、クリックジャッキングが仕掛けられたサイトが見つかったという報告がある[要出典]
  • はてなブックマークにおいてログイン済みのユーザーを対象に、一見無関係なボタンを押すことによりユーザーの気づかないうちにソーシャルブックマークをしてしまうという想定のもとに、その構造を視覚的に理解することを可能としたデモンストレーションがはまちや2によって2009年3月に公開されている[7]

脚注[編集]

  1. ^ Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
  2. ^ Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
  3. ^ Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
  4. ^ Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。
  5. ^ Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
  6. ^ Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。
  7. ^ Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。

関連項目[編集]

外部リンク[編集]